Introduction
En mars 2025, l’autorité norvégienne de protection des données, le Datatilsynet, a infligé une amende de 345 000 euros à l’opérateur Telenor ASA.
Cette décision fait suite à des manquements liés à l’organisation du rôle du Délégué à la Protection des Données (DPO) et à des lacunes dans le contrôle interne.
En tant que DPO externalisé, cette décision peut servir de support pour sensibiliser vos clients à l’importance de la bonne intégrationdu DPO au sein de leur organisation.
Un DPO insuffisamment autonome et mal structuré
Un défaut d’indépendance avéré
Le Datatilsynet a relevé que Telenor n’avait ni documenté l’indépendance de son DPO, ni mis en place de garanties contre les conflits d’intérêts.
Le DPO ne disposait pas d’un contact direct avec la direction, en contradiction avec les exigences de l’article 38 du RGPD.
Une nomination non formalisée
L’entreprise n’a pas été en mesure de démontrer une évaluation claire du besoin de désigner un DPO.
Or, compte tenu de la nature et du volume des traitements, cette obligation aurait dû être analysée et justifiée formellement.
Un contrôle interne jugé insuffisant
Des failles dans la documentation
Le registre des activités de traitement était incomplet et obsolète, ce qui témoigne d’un pilotage RGPD insuffisant.
Cette négligence rendait difficile toute traçabilité ou justification des traitements de données.
Une gouvernance RGPD inexistante
Le Datatilsynet a constaté l’absence de gouvernance claire en matière de conformité.
Aucune ligne de responsabilité n’avait été définie pour superviser la protection des données personnelles.
Décision de l’autorité norvégienne
Une amende administrative
Telenor ASA a été sanctionnée à hauteur de 4 millions de couronnes norvégiennes, soit environ 345 000 euros.
Des mesures correctives imposées
L’entreprise devra notamment :
- réévaluer formellement son obligation de désigner un DPO,
- formaliser son organisation de la conformité RGPD,
- mettre à jour son registre des traitements et en assurer le suivi régulier.
Ce que doivent retenir vos clients
Le RGPD s’applique dans toute l’Union européenne
Bien que la décision soit émise par la Norvège, elle s’inscrit dans le cadre du mécanisme transfrontalier du RGPD.
Elle peut donc inspirer des actions similaires de la part d’autres autorités européennes.
Le rôle du DPO ne peut pas être symbolique
La simple désignation d’un DPO ne suffit pas. Celui-ci doit :
- disposer d’un statut clairement défini,
- être libre de ses évaluations,
- pouvoir rendre des comptes au plus haut niveau de la hierarchie,
- être intégré dans la gouvernance globale de la conformité.
Le contrôle interne est un pilier de la conformité
La tenue rigoureuse du registre des traitements, l’existence de procédures formalisées et la documentation de la gouvernance sont essentielles pour faire face à un contrôle.
Conclusion
L’affaire Telenor illustre que le RGPD dépasse la seule documentation. Il exige une gouvernance active, structurée et suivie.
Pour vos clients, cette sanction peut servir d’alerte. Elle montre qu’un DPO non autonome ou mal positionné constitue un risque juridique et réputationnel significatif.
En tant que DPO externalisé, c’est l’occasion de rappeler que la mise en conformité ne repose pas uniquement sur des textes, mais sur une organisation solide, pilotée et formalisée.
